Từ 01/01/2026, mạng xã hội ép người dùng cung cấp giấy tờ tùy thân có bị xử phạt không?

Mục lục

1. Bối cảnh ra đời của quy định cấm mạng xã hội yêu cầu giấy tờ tùy thân
- 1.1. Thực trạng thu thập dữ liệu cá nhân trên mạng xã hội
- 1.2. Nhu cầu kiểm soát pháp lý chặt chẽ hơn
2. Từ 01/01/2026, mạng xã hội ép người dùng cung cấp giấy tờ tùy thân có vi phạm pháp luật không?
3. Người dùng có quyền rút lại sự đồng ý xử lý dữ liệu cá nhân hay không?
4. Sáu nguyên tắc bảo vệ dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân 2025
5. Một số vấn đề liên quan doanh nghiệp công nghệ cần đặc biệt lưu ý
6. Kết luận

Sự phát triển nhanh chóng của mạng xã hội và các nền tảng truyền thông trực tuyến trong nhiều năm qua đã làm thay đổi sâu sắc cách con người giao tiếp, kinh doanh và tiếp cận thông tin. Tuy nhiên, song hành với tiện ích là nguy cơ ngày càng lớn về việc xâm phạm quyền riêng tư và lạm dụng dữ liệu cá nhân, đặc biệt khi các nền tảng số nắm trong tay lượng dữ liệu khổng lồ của người dùng.

Trong bối cảnh đó, Luật Bảo vệ dữ liệu cá nhân năm 2025 được ban hành và chính thức có hiệu lực từ ngày 01/01/2026, đánh dấu một bước ngoặt quan trọng trong việc thiết lập hành lang pháp lý bảo vệ dữ liệu cá nhân tại Việt Nam.

Một trong những nội dung gây chú ý và tác động trực tiếp đến hoạt động của các nền tảng mạng xã hội là quy định cấm yêu cầu người dùng cung cấp hình ảnh, video giấy tờ tùy thân để xác thực tài khoản. Điều này đặt ra hàng loạt câu hỏi pháp lý và thực tiễn:

Mạng xã hội ép người dùng cung cấp CCCD, CMND, hộ chiếu có bị coi là vi phạm pháp luật từ năm 2026 hay không?
Người dùng đã “đồng ý” cho xử lý dữ liệu cá nhân thì có quyền rút lại hay không?
Những nguyên tắc nào chi phối toàn bộ hoạt động thu thập và xử lý dữ liệu cá nhân theo luật mới?
Doanh nghiệp công nghệ, nền tảng số cần điều chỉnh chính sách như thế nào để tránh rủi ro pháp lý?

Bài viết này sẽ phân tích toàn diện và hệ thống các vấn đề trên, không chỉ dừng lại ở việc trích dẫn quy định pháp luật, mà còn làm rõ bản chất pháp lý, rủi ro thực tiễn và định hướng tuân thủ cho cả người dùng lẫn doanh nghiệp.

1. Bối cảnh ra đời của quy định cấm mạng xã hội yêu cầu giấy tờ tùy thân

1.1. Thực trạng thu thập dữ liệu cá nhân trên mạng xã hội

Trong nhiều năm, việc các nền tảng mạng xã hội yêu cầu người dùng cung cấp giấy tờ tùy thân để “xác thực tài khoản”, “chống tài khoản ảo”, “tăng độ tin cậy” đã diễn ra khá phổ biến. Không ít nền tảng đặt người dùng vào tình thế:

Hoặc cung cấp CCCD/CMND/hộ chiếu;
Hoặc bị khóa tài khoản, hạn chế tính năng, thậm chí mất quyền truy cập.

Vấn đề nằm ở chỗ: giấy tờ tùy thân là loại dữ liệu cá nhân có mức độ nhạy cảm cao, chứa nhiều thông tin có thể bị lợi dụng cho các hành vi gian lận, lừa đảo, chiếm đoạt tài sản nếu bị rò rỉ hoặc sử dụng sai mục đích.

Trong khi đó, người dùng thường ở vị thế yếu hơn, khó có khả năng thương lượng hoặc từ chối một cách thực chất.

1.2. Nhu cầu kiểm soát pháp lý chặt chẽ hơn

Luật Bảo vệ dữ liệu cá nhân 2025 được xây dựng trên tinh thần:

Xác lập quyền kiểm soát dữ liệu cá nhân thuộc về cá nhân;
Giới hạn nghiêm ngặt quyền thu thập, xử lý dữ liệu của tổ chức, doanh nghiệp;
Ngăn chặn tình trạng “đồng ý hình thức”, “bị ép đồng ý”.

Quy định cấm mạng xã hội yêu cầu giấy tờ tùy thân để xác thực tài khoản cần được hiểu trong tổng thể mục tiêu này.

2. Từ 01/01/2026, mạng xã hội ép người dùng cung cấp giấy tờ tùy thân có vi phạm pháp luật không?

2.1. Căn cứ pháp lý trực tiếp

Theo Điều 29 Luật Bảo vệ dữ liệu cá nhân năm 2025, tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến có trách nhiệm bảo vệ dữ liệu cá nhân của người dùng.

Luật quy định rõ:

Không được yêu cầu cung cấp hình ảnh, video chứa toàn bộ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản.

Đây là quy định mang tính cấm tuyệt đối, không gắn với điều kiện “nếu người dùng đồng ý” hay “nếu có thông báo trước”.

2.2. “Ép cung cấp” được hiểu ra sao dưới góc độ pháp lý?

Khái niệm “ép” không chỉ giới hạn ở mệnh lệnh trực tiếp. Trong áp dụng pháp luật, hành vi bị coi là ép buộc khi:

Người dùng không có lựa chọn thực tế nào khác;
Việc từ chối cung cấp giấy tờ tùy thân dẫn đến hậu quả bất lợi rõ ràng;
Sự đồng ý (nếu có) không xuất phát từ ý chí tự nguyện.

Do đó, các hành vi sau đều có nguy cơ bị coi là vi phạm:

Buộc tải lên hình ảnh CCCD/CMND để mở khóa tài khoản;
Khóa hoặc hạn chế tài khoản nếu người dùng không xác thực bằng giấy tờ tùy thân;
Thiết kế giao diện, quy trình khiến người dùng “buộc phải đồng ý”;
Gọi việc thu thập giấy tờ tùy thân là “tự nguyện”, nhưng gắn với điều kiện tiếp tục sử dụng dịch vụ.

2.3. Hậu quả pháp lý và khả năng bị xử phạt

Kể từ 01/01/2026, khi hành vi bị cấm được xác định rõ ràng trong luật, việc vi phạm có thể kéo theo:

Xử phạt vi phạm hành chính theo nghị định chuyên ngành về bảo vệ dữ liệu cá nhân;
Buộc chấm dứt hành vi vi phạm;
Buộc xóa, hủy dữ liệu cá nhân thu thập trái phép;
Trách nhiệm bồi thường thiệt hại nếu gây hậu quả cho người dùng.

Đối với doanh nghiệp công nghệ, đây là rủi ro pháp lý nghiêm trọng, không chỉ về tiền phạt mà còn về uy tín, thương hiệu và khả năng duy trì hoạt động tại thị trường Việt Nam.

3. Người dùng có quyền rút lại sự đồng ý xử lý dữ liệu cá nhân hay không?

3.1. Quyền kiểm soát dữ liệu cá nhân

Một điểm tiến bộ nổi bật của Luật Bảo vệ dữ liệu cá nhân 2025 là việc khẳng định: chủ thể dữ liệu cá nhân có quyền kiểm soát dữ liệu của mình, thay vì chỉ là đối tượng bị thu thập.

Theo Điều 10, người dùng có quyền:

Rút lại sự đồng ý đã cho phép xử lý dữ liệu cá nhân;
Yêu cầu hạn chế việc xử lý dữ liệu cá nhân.

3.2. Điều kiện và hình thức rút lại sự đồng ý

Việc rút lại sự đồng ý được thực hiện khi người dùng:

Nghi ngờ mục đích xử lý không còn phù hợp;
Nghi ngờ phạm vi xử lý vượt quá thỏa thuận ban đầu;
Nghi ngờ dữ liệu cá nhân không chính xác.

Yêu cầu phải được thể hiện bằng văn bản, bao gồm cả hình thức điện tử, và gửi đến bên kiểm soát hoặc bên kiểm soát – xử lý dữ liệu.

3.3. Giới hạn của quyền rút lại sự đồng ý

Luật cũng đặt ra giới hạn hợp lý nhằm bảo đảm sự ổn định pháp lý:

Không áp dụng đối với hoạt động xử lý dữ liệu đã diễn ra hợp pháp trước thời điểm rút lại;
Không áp dụng với các trường hợp xử lý dữ liệu không phụ thuộc vào sự đồng ý theo luật.

4. Sáu nguyên tắc bảo vệ dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân 2025

Toàn bộ hoạt động thu thập và xử lý dữ liệu cá nhân phải tuân thủ 06 nguyên tắc nền tảng:

Tuân thủ Hiến pháp và pháp luật.
Thu thập, xử lý đúng mục đích, phạm vi.
Bảo đảm tính chính xác, cập nhật dữ liệu.
Áp dụng biện pháp bảo vệ phù hợp.
Chủ động phòng ngừa, xử lý vi phạm.
Bảo đảm hài hòa lợi ích cá nhân và lợi ích quốc gia.

5. Một số vấn đề liên quan doanh nghiệp công nghệ cần đặc biệt lưu ý

5.1. Rà soát lại toàn bộ cơ chế xác thực tài khoản

Doanh nghiệp cần loại bỏ việc xác thực bằng giấy tờ tùy thân, thay thế bằng các phương thức ít xâm phạm hơn.

5.2. Thiết kế lại cơ chế “đồng ý”

Sự đồng ý phải tự nguyện, cụ thể, có thể rút lại dễ dàng.

5.3. Chuẩn bị cho hoạt động thanh tra, kiểm tra

Luật mới tạo cơ sở cho việc kiểm tra, xử lý mạnh tay đối với vi phạm dữ liệu cá nhân.

6. Kết luận

Từ ngày 01/01/2026, việc mạng xã hội ép người dùng cung cấp giấy tờ tùy thân để xác thực tài khoản là hành vi vi phạm pháp luật và có thể bị xử phạt nghiêm khắc.

Người dùng có quyền chủ động kiểm soát dữ liệu cá nhân của mình, trong khi doanh nghiệp công nghệ buộc phải thay đổi cách tiếp cận theo hướng tôn trọng quyền riêng tư và tuân thủ pháp luật.

Luật Bảo vệ dữ liệu cá nhân 2025 không chỉ là rào cản pháp lý, mà còn là chuẩn mực mới cho một môi trường số an toàn, minh bạch và bền vững.

Tư vấn pháp luật